如今 App 內建瀏覽器(In-App Browser)成為個人隱私與安全的主要風險,包括 TikTok/抖音、Facebook、Instagram 及 Messenger 等許多知名 App,會讓 iOS 或 Android 使用者預設經專屬瀏覽器載入頁面,且透過 JavaScript Injection 將額外追蹤程式植入頁面。讓人欣慰的是,網路已有使用者檢查是否被 App 內建瀏覽器追蹤的 Web 工具程式,使用者可確保手機 App、PC 瀏覽器與個人隱私安全。
透過 JavaScript Injection 植入追蹤程式,能蒐集使用者網頁瀏覽歷史紀錄、登錄資料,甚至還能側錄所有擊鍵內容,加上 App 內建瀏覽器任何行為都很難掃描檢測,所以成為駭客至知名 App 蒐集特定資料最受歡迎的手法。安全研究人員 Flix Krause 特別提供 InAppBrowser 工具程式,讓使用者檢測手機是否有 App 內建瀏覽器祕密使用危險 JavaScript Injection 追蹤個資與蒐集等不軌勾當。
InAppBrowser 啟動步驟
值得激賞的是,InAppBrowser 不限 iOS 或 Android App 內建瀏覽器掃描,也可偵測使用者 PC 預設瀏覽器擴充功能或外掛程式安全性。InAppBrowser 使用很簡單,先介紹 iOS 及 Android 手機使用步驟:
- 先打開想檢測的 App。
- 在 App 內建瀏覽器載入 InAppBrowser.com 頁面。
掃描 PC 瀏覽器外掛程式/擴充功能也很簡單:
- 開啟 PC 預設瀏覽器。
- 瀏覽器網址列輸入 InAppBrowser.com。
不論手機或 PC,載入 InAppBrowser.com 頁面後,會立即顯示是否偵測到 JavScript Injection。如果有,工具會列出 JavaScript 指令或行為,解釋程式碼指令可能用途及風險。
InAppBrowser 工具程式只會警告是否有 JavScript Injection,不會告知 App 或瀏覽器外掛/擴充功能是否真有安全風險。換言之,只要某 App 或瀏覽器外掛有使用 JavScript Injection,不論基於惡意、廣告或故障排除等理由蒐集個資,甚至完全沒有蒐集資料,InAppBrowser 也會標示警告。
直接刪除不安全 App,App 設定變更成信任瀏覽器
InAppBrowser 只是測試或判定 App 是否安全的工具,至少使用者能確認 App 是否透過 JavScript Injection 蒐集資料,接下來使用者要自行決定此工具是否值得使用,或再透過其他工具雙重驗證。
如果使用者決定停用某 App,方法有很多,最直截了當就是移除 App。不安全 App 移除,所有可能的追蹤行為也會停止。如果即使確認某 App 的確使用 JavScript Injection 後依舊想繼續用,可進入此 App 設定,找到選項將預設瀏覽器變更為自己信任或偏好的瀏覽器,如 Safari 就是不錯的選擇,因最新版會封鎖許多 JavScript 行動。除此之外,不論有沒有 JavScript Injection 存在,為了安全起見,使用者最好在 iOS 或 Android 設定選單關閉 App 追蹤機制,最好也關閉位置追蹤功能。
(首圖來源:科技新報)
科技新報粉絲團
加入好友
訂閱免費電子報
